BlackBerry: los ciberdelincuentes chinos apuntan a servidores Linux de alto valor con defensas débiles


Cinco grupos APT han estado utilizando troyanos de acceso remoto para aprovechar un componente de crimson que no recibe mucha atención de los equipos de seguridad.

El malware de Linux es true y los grupos de amenazas persistentes avanzadas (APT) se han infiltrado en servidores críticos con estas herramientas durante al menos ocho años, según un nuevo informe de BlackBerry.

En «Década de las RAT: ataques de espionaje APT multiplataforma dirigidos a Linux, Windows y Android«, los investigadores de seguridad descubrieron que estos grupos han atacado a compañías en todo el mundo y en todas las industrias con objetivos que van desde el easy delito cibernético hasta el espionaje económico en toda regla.

El informe RAT explain cómo cinco grupos APT están trabajando con el gobierno chino y los troyanos de acceso remoto (RAT) que los ciberdelincuentes están utilizando para obtener y mantener el acceso a los servidores Linux. Según el informe, los grupos parecían estar utilizando herramientas de estilo WINNTI para apuntar a servidores Linux y permanecieron relativamente sin ser detectados durante casi una década.

Estos grupos están dirigidos a entornos Purple Hat Company, CentOS y Ubuntu Linux para el espionaje y el robo de propiedad intelectual. Los grupos APT examinados incluyen el GRUPO WINNTI original, PASSCV, BRONZE UNION, CASPER (Lead) y un grupo recientemente identificado que los investigadores de BlackBerry están rastreando como WLNXSPLINTER.

Los investigadores de BlackBerry creen que los cinco grupos están trabajando juntos, dadas las distintas similitudes en sus herramientas, tácticas y procedimientos preferidos.

VER: Ciberseguridad: pongámonos tácticos (PDF gratis)

Eric Cornelius, director de productos de BlackBerry, dijo que espera que el informe motive a los CISO y los equipos de seguridad a reconsiderar las posibles amenazas que se han descartado en el pasado.

«La mayoría de las empresas de hoy no se centran en Linux tan profundamente como deberían», dijo. «El malware de Linux es una cosa y ha estado funcionando por mucho tiempo».

El informe de RAT incluye una gran cantidad de indicadores que los administradores de purple y los analistas de seguridad pueden usar para ver qué sucede en los servidores Linux.

Servidores Linux: siempre encendidos y mal defendidos

El informe RAT ilustra el riesgo de estas infecciones al enumerar todas las organizaciones que usan Linux: las bolsas de valores de Nueva York, Londres y Tokio casi todos los grandes gigantes tecnológicos y de comercio electrónico dependen de él, incluidos Google, Yahoo y Amazon, la mayoría de las agencias gubernamentales de EE. UU. y el Departamento de Defensa prácticamente todos los principales sitios internet de un millón 75% de todos los servidores world wide web 98% de las supercomputadoras más avanzadas del mundo y más del 75% de todos los servidores en la nube.

Según el informe, el conjunto de herramientas de malware de Linux recientemente descubierto incluía dos rootkits a nivel de núcleo que representaban ejecutables que son extremadamente difíciles de detectar, por lo que es muy probable que muchas organizaciones hayan sido infectadas por algún tiempo. El informe proporciona un análisis de los ataques, el conjunto de herramientas, los rootkits, el otro malware y la infraestructura involucrada.

Cornelius dijo que estos servidores son un buen lugar para que los actores malos se establezcan porque tienen alta disponibilidad y alta redundancia.

«Además, a la industria de la seguridad no le importa mucho Linux porque está vendiendo productos por punto last y Linux solo tiene una participación de mercado del 2%», dijo. «Las máquinas que ejecutan Linux son dispositivos extraordinariamente importantes, pero son minoría».

Cornelius dijo que es particularmente difícil lidiar con estas infecciones a nivel de rootkit por tres razones. Primero, este componente de la infraestructura de una empresa requiere poco escrutinio y muy rara vez tiene una defensa. En segundo lugar, los analistas de seguridad pasan mucho más tiempo buscando actividad en el espacio del usuario. Finalmente, cuando un analista de seguridad tiene que abordar un problema en un servidor Linux, es probable que alguien más haya creado el servicio y simplemente desinstalar algo no sea una opción.

«Sospecha que podría estar sucediendo algo tonto, pero si hace algo que mejora esa máquina y usted es la persona que le costó a la empresa cientos de miles de dólares», dijo.

Los autores del informe también encontraron que estas puertas traseras se comunicaban tanto con los internos como con
direcciones IP externas, lo que indica que los grupos atacaron servidores que eran ambos
segmentado deliberadamente para evitar que se conecten a Internet y se conecten a servidores internet que llegaron fuera de la organización objetivo.

«Los equipos de seguridad no esperan que los atacantes se tomen el tiempo de canalizar el tráfico de una máquina a otra y luego salgan», dijo.

Según el informe, la infección de los servidores internos solo muestra que los atacantes tuvieron éxito en la explotación de los datos «tipo joya de la corona» que normalmente se guardan en tales bóvedas, o que habían establecido un punto de acceso de respaldo en caso de que se encontraran otras vías. y bloqueado

Cornelius dijo que es fácil olvidar que lleva tiempo establecer el acceso encubierto en una purple corporativa.

«Estas cosas duran alrededor de 10 meses, desde ganar un punto de apoyo hasta explorar y descubrir dónde está todo», dijo.

También dijo que incluso cuando una empresa descubre una intrusión, los ciberdelincuentes se callan, lo que significa que los líderes de seguridad a veces asumen que la falta de actividad significa que la amenaza desaparece cuando no es así.

China y código abierto

El informe establece que «China no solo invierte mucho más esfuerzo en la recolección de código abierto que otros países, sino que los componentes &#39back-finish&#39 – análisis, interacción con el cliente y retroalimentación a los recolectores – también juegan un papel mucho más importante, como corresponde a un nación cuyo progreso depende más de la adaptación que de la innovación «.

La combinación de una cobertura de soluciones de seguridad deficiente para Linux y un malware complejo altamente personalizado ha dado como resultado un conjunto de herramientas adversas que en gran medida, si no del todo, no se han detectado durante años.

Cornelius también dijo que el uso de software de código abierto tiene sentido para los ciberdelincuentes porque pueden usar el trabajo que alguien más ya ha hecho y porque hay una negación más plausible.

«Cuando las personas lo encuentran, les será difícil encontrar cualquier atribución más allá del marco de código abierto», dijo. «Cuando desarrollas computer software desde cero, pones mucho de tu parte en él, lo que permite una atribución significativa».

Cornelius dijo que existen varios desafíos matizados para llevar una defensa de Linux al mercado.

«Debido a que los equipos de seguridad están insuficientemente financiados y con poco own, probablemente no van a desarrollar soluciones a medida para Linux», dijo.

Cornelius también señaló que todos los que ejecutan Windows tienen el mismo núcleo, pero cada distribución de Linux lo hace de manera ligeramente diferente.

Certificados de firma de código de adware

El informe también analiza los ataques que utilizan certificados de firma de código de adware, una táctica que los atacantes esperan permita que las amenazas de seguridad genuinas se oculten en el flujo constante de alertas de adware. El informe examina múltiples muestras de malware acompañado de los certificados de firma de código de adware.

Cornelius dijo que firmar malware con certificados de anuncios es una opción inteligente. En medio del diluvio diario de alertas de seguridad, algunas advertencias indican riesgos de seguridad reales, algunas son falsos positivos y otras caen en el medio, como los certificados de anuncios.

«Lo que están haciendo es crear algo realmente malo e intentar pasarlo como algo malo», dijo Cornelius.

Los autores del informe RAT dijeron que al esconderse detrás del adware, los malos actores se dirigen directamente al
psicología y metodología de analistas de seguridad para explotar las debilidades inherentes en
sus suposiciones porque «la fatiga de alerta es genuine y el adware es aburrido».

Los autores han visto estas técnicas utilizadas por varios otros actores estatales para evitar el análisis y crear una capa de dirección errónea que es difícil de detectar. El informe incluye una lista de certificados de firma de código de adware y greyware comprometidos y binarios maliciosos asociados en el apéndice.

Ver también

blackberryratsreport.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/04/06/07487ace-8cd7-445c-ad04-a771c2eebcb5/resize/770x/5afc02905adff4b22f32f1198f3c50af/blackberryratsreport.jpg

Los investigadores de BlackBerry han descubierto que los grupos de hackers de astillas de Linux han desarrollado y desplegado varias herramientas, denominadas colectivamente el conjunto de herramientas WINNTILNX.

Imagen: BlackBerry



Enlace a la noticia original